En aquest article, ens agradaria mostrar com és treballar amb Microsoft Teams des del punt de vista dels usuaris, administradors de TI i personal de seguretat de la informació.
Primer, tinguem clar com és diferent Teams de la majoria dels altres productes de Microsoft a la seva oferta d'Office 365 (O365 per abreujar).
Teams és només un client i no té la seva pròpia aplicació al núvol. I allotja les dades que gestiona a través de diverses aplicacions O365.
Us mostrarem què passa "sota el capó" quan els usuaris treballen a Teams, SharePoint Online (d'ara endavant SPO) i OneDrive.
Si voleu passar a la part pràctica de garantir la seguretat amb les eines de Microsoft (1 hora del temps total del curs), us recomanem que escolteu el nostre curs d'auditoria compartida d'Office 365, disponible Aquest curs també cobreix la configuració per compartir a O365, que només es pot canviar mitjançant PowerShell.
Coneix l'equip intern del projecte Acme Co.
Aquest és l'aspecte d'aquest equip a Teams, després que s'hagi creat i la propietària d'aquest equip, Amelia, hagi concedit l'accés adequat als seus membres:
L'equip comença a treballar
Linda implica que l'arxiu amb el pla de pagament de bonificació col·locat al Canal que va crear només tindran accés James i William, amb qui ho van parlar.
James, al seu torn, envia un enllaç per accedir a aquest fitxer a una empleada de recursos humans, Emma, que no forma part de l'equip.
William envia un acord amb les dades personals d'un tercer a un altre membre de l'equip al xat d'MS Teams:
Pugem sota el capó
La Zoey, amb l'ajuda d'Amelia, ara pot afegir o eliminar qualsevol persona de l'equip en qualsevol moment:
Linda, que va publicar un document amb dades crítiques destinades a ser utilitzades només per dos dels seus col·legues, va cometre un error amb el tipus de canal en crear-lo i el fitxer va quedar disponible per a tots els membres de l'equip:
Afortunadament, hi ha una aplicació de Microsoft per a O365 en la qual podeu (utilitzar-la completament per a altres propòsits) veure ràpidament a quines dades crítiques tenen accés absolutament tots els usuaris?, utilitzant per a la prova un usuari que només és membre del grup de seguretat més general.
Fins i tot si els fitxers es troben dins dels canals privats, això pot no ser una garantia que només hi tingui accés un determinat cercle de persones.
A l'exemple de James, va proporcionar un enllaç al fitxer de l'Emma, que ni tan sols és membre de l'equip, i molt menys l'accés al canal privat (si fos un).
El pitjor d'aquesta situació és que no veurem informació sobre això enlloc dels grups de seguretat d'Azure AD, ja que els drets d'accés se li concedeixen directament.
El fitxer PD enviat per William estarà disponible per a Margaret en qualsevol moment, i no només mentre xerreu en línia.
Pugem fins a la cintura
Anem a esbrinar-ho més enllà. Primer, vegem què passa exactament quan un usuari crea un nou equip a MS Teams:
- Es crea un nou grup de seguretat de l'Office 365 a Azure AD, que inclou propietaris i membres de l'equip
- S'està creant un lloc d'equip nou a SharePoint Online (d'ara endavant SPO)
- Es creen tres grups locals nous (vàlids només en aquest servei) a SPO: propietaris, membres i visitants
- També s'estan fent canvis a Exchange Online.
Dades de MS Teams i on viuen
Teams no és un magatzem de dades ni una plataforma. Està integrat amb totes les solucions d'Office 365.
- O365 ofereix moltes aplicacions i productes, però les dades sempre s'emmagatzemen als llocs següents: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Les dades que compartiu o rebeu mitjançant MS Teams s'emmagatzemen en aquestes plataformes, no dins del propi Teams
- En aquest cas, el risc és la tendència creixent cap a la col·laboració. Qualsevol persona amb accés a les dades a les plataformes SPO i OD pot posar-les a disposició de qualsevol persona dins o fora de l'organització
- Totes les dades de l'equip (excloent el contingut dels canals privats) es recullen al lloc SPO, creades automàticament quan es crea un equip.
- Per a cada canal creat, es crea automàticament una subcarpeta a la carpeta Documents d'aquest lloc SPO:
- els fitxers dels canals es pengen a les subcarpetes corresponents de la carpeta Documents del lloc dels equips SPO (anomenat igual que el canal)
- Els correus electrònics enviats al canal s'emmagatzemen a la subcarpeta "Missatges de correu electrònic" de la carpeta del canal
- Quan es crea un nou canal privat, es crea un lloc SPO independent per emmagatzemar el seu contingut, amb la mateixa estructura que es descriu anteriorment per als canals normals (important: per a cada canal privat es crea el seu propi lloc SPO especial)
- Els fitxers enviats mitjançant xats es desen al compte de OneDrive de l'usuari que l'envia (a la carpeta "Fitxers de xat de Microsoft Teams") i es comparteixen amb els participants del xat.
- El contingut del xat i la correspondència s'emmagatzemen a les bústies de correu de l'usuari i de l'equip, respectivament, en carpetes ocultes. Actualment no hi ha manera d'obtenir accés addicional a ells.
Hi ha aigua al carburador, hi ha una fuita a la sentina
Punts clau que és important recordar en context Seguretat de la informació:
- El control d'accés i la comprensió de qui se'ls pot concedir drets sobre dades importants es transfereix al nivell d'usuari final. No proporcionat control o supervisió totalment centralitzat.
- Quan algú comparteix dades de l'empresa, els vostres punts cecs són visibles per als altres, però no per a vosaltres.
No veiem l'Emma a la llista de persones que formen part de l'Equip (a través d'un grup de seguretat a Azure AD), però té accés a un fitxer específic, l'enllaç al qual li va enviar James.
De la mateixa manera, no sabrem sobre la seva capacitat per accedir a fitxers des de la interfície d'equips:
Hi ha alguna manera d'obtenir informació sobre quin objecte té accés l'Emma? Sí, podem, però només examinant els drets d'accés a tot o a un objecte concret de l'SPO sobre el qual tenim sospites.
Després d'examinar aquests drets, veurem que l'Emma i la Chris tenen drets sobre l'objecte a nivell SPO.
Chris? No coneixem cap Chris. D'on venia?
I ens "va venir" del grup de seguretat "local" de SPO, que, al seu torn, ja inclou el grup de seguretat d'Azure AD, amb membres de l'equip de "Compensacions".
Potser Microsoft Cloud App Security (MCAS) serem capaços de donar llum a qüestions que ens interessen, aportant el nivell de comprensió necessari?
Ai, no... Tot i que podrem veure en Chris i Emma, no podrem veure els usuaris concrets als quals se'ls ha concedit l'accés.
Nivells i mètodes de proporcionar accés a O365 - Reptes informàtics
El procés més senzill de proporcionar accés a dades en emmagatzematge de fitxers dins del perímetre de les organitzacions no és especialment complicat i pràcticament no ofereix oportunitats per saltar els drets d'accés concedits.
O365 també té moltes oportunitats de col·laboració i compartir dades.
- Els usuaris no entenen per què restringeixen l'accés a les dades si simplement poden proporcionar un enllaç a un fitxer disponible per a tothom, perquè no tenen coneixements bàsics en l'àmbit de la seguretat de la informació, o descuiden els riscos, fent suposicions sobre la baixa probabilitat del seu aparició
- Com a resultat, la informació crítica pot abandonar l'organització i estar disponible per a una àmplia gamma de persones.
- A més, hi ha moltes oportunitats per proporcionar accés redundant.
Microsoft a O365 ha proporcionat probablement massa maneres de canviar les llistes de control d'accés. Aquests paràmetres estan disponibles a nivell d'inquilí, llocs, carpetes, fitxers, objectes i enllaços a ells. Configurar la configuració de les capacitats per compartir és important i no s'ha de descuidar.
Oferim l'oportunitat de fer un curs de vídeo gratuït d'aproximadament una hora i mitja sobre la configuració d'aquests paràmetres, l'enllaç al qual es proporciona al principi d'aquest article.
Sense pensar-ho dues vegades, podeu bloquejar tots els fitxers compartits externs, però després:
- Algunes de les capacitats de la plataforma O365 romandran sense utilitzar, sobretot si alguns usuaris estan acostumats a utilitzar-les a casa o en una feina anterior.
- Els "usuaris avançats" "ajudaran" altres empleats a trencar les regles que establiu per altres mitjans
La configuració d'opcions per compartir inclou:
- Diverses configuracions per a cada aplicació: OD, SPO, AAD i MS Teams (algunes configuracions només les pot fer l'administrador, algunes només les poden fer els mateixos usuaris)
- Configuracions de configuració a nivell de llogater i a nivell de cada lloc específic
Què significa això per a la seguretat de la informació?
Com hem vist anteriorment, els drets d'accés a les dades autoritzats complets no es poden veure en una única interfície:
Així, per entendre qui té accés a CADA arxiu o carpeta específic, caldrà crear de manera independent una matriu d'accés, recollint-ne dades, tenint en compte el següent:
- Els membres dels equips són visibles a Azure AD i Teams, però no a SPO
- Els propietaris de l'equip poden nomenar copropietaris, que poden ampliar la llista d'equips de manera independent
- Els equips també poden incloure usuaris EXTERNS: "Convidats"
- Els enllaços proporcionats per compartir o baixar no són visibles a Teams o Azure AD, només a SPO i només després de fer clic a través d'un munt d'enllaços.
- L'accés només al lloc SPO no és visible a Teams
Manca de control centralitzat vol dir que no pots:
- Veure qui té accés a quins recursos
- Veure on es troben les dades crítiques
- Complir els requisits reglamentaris que requereixen un enfocament de la privadesa primer a la planificació del servei
- Detectar comportaments inusuals respecte a dades crítiques
- Limitar l'àrea d'atac
- Trieu una manera eficaç de reduir els riscos en funció de la seva avaluació
Resum
Com a conclusió, ho podem dir
- Per als departaments de TI de les organitzacions que trien treballar amb O365, és important comptar amb empleats qualificats que puguin implementar tècnicament canvis en la configuració de compartició i justificar les conseqüències de canviar determinats paràmetres per tal d'escriure polítiques per treballar amb O365 que s'acordin amb la informació. seguretat i unitats de negoci
- És important que la seguretat de la informació pugui realitzar de forma automàtica diàriament, o fins i tot en temps real, una auditoria d'accés a les dades, infraccions de les polítiques O365 acordades amb els departaments informàtics i empresarials i una anàlisi de la correcció de l'accés concedit. , així com veure atacs a cadascun dels serveis al seu arrendatari O365
Font: www.habr.com